混合云模式帮助解决了安全和合规问题,但这种模式仍然有很多挑战,包括云加密。
企业对在云中存储和使用数据的态度正在发生转变,他们正在从担心数据被盗或丢失缓慢转变为重视云经济和灵活性。这也就意味着从仅存储最不敏感的数据到云中,转变为利用云计算[注]对最敏感的数据进行备份和归档。
然而,与此同时,合规要求和数据监管政策都在反对将数据存储在云中,即使只是暂时存储,并提出了关于网络传输的安全问题。
因此,很多大型企业都在寻求混合云模式,这涉及使用私有云[注],以及使用公共云来处理云爆发重负载。这种模式解决了数据安全、管理和合规问题,并且,主机托管混合云的概念也正在吸引大家的目光。在这种模式中,数据存储在私有云中,这些数据同时也位于公共云中,并通过本地局域网连接。
这种混合云方法意味着所有数据都存储在私有云中,总是位于防火墙背后,即使在传输过程中。同时,还可以避免通过广域网链路的延迟性造成的性能损失,也不需要在公共云制作数据副本并保持它们同步。
不过,使用这个模式仍然需要部署适当的数据安全措施。静态数据应该被加密,即使整个安装都是在防火墙背后进行。云计算的公共部分是在多租户的空间,总是可能存在恶意租户的情况。
同样重要的是,还应该对公共云实例进行身份验证。这需要一个进程来在私有云中进行身份验证以创建和拆卸公共实例,还可以建立VPN来限制对公共实例的网络访问,作为额外的保护。
现在在云计算中使用加密并不常见,成本、性能影响等因素都阻碍着云计算加密的普及,但数据泄露事故很多,企业至少应该对静态数据进行加密。
另外,在什么位置对数据进行解密也很重要。理想情况下,应该是在尽可能接近创建或使用位置。然而,这涉及释放加密密钥到公共云,这可能会违反合规性。对于大多数用户而言,可能的解决方案是在存储设备解密,虽然这可能会导致数据在局域网的传输过程中泄露。最好的情况是,通过局域网传输的数据使用与存储不同的加密系统。
我们仍然没有找到云加密问题的满意答案(+微信关注网络世界),可能还需要一年或两年的时间,但这并不是数据泄露的唯一途径。现在,云软件正在以非常快的速度发展,这个过程中也可能出现很多可利用的漏洞。例如,本地实例存储可能会泄露,因为仅仅通过使用删除命令SSD的使用并不能保证擦除。SSD将删除的块转移到存储池中以供回收/再利用,实际数据删除可能需要很长的时间。
在未来一两年,软件定义基础设施的方法将会成为云设置的主要方法。这种方法不仅将控制操作移动到虚拟服务器,同时也鼓励着各种软件提供商(从知名交换机供应商到初创公司)糅合其代码来提供解决方案。所有这些都可能创造漏洞利用,整个配置的复杂性也使得不可能进行手动跟踪。这将需要对软件定义基础设施的自动监控和保护套件。
我们正在逐渐向100%云模式过渡。目前我们还不确定未来会是混合云模式还是公共云,但可以确定的是,我们将数据从受控空间转移到云计算,而我们还不确定如何安全地进行,不过,我们已经取得很大的进步。